• No results found

GEMEENTE, WAT GA JE PRECIES MET AL DIE

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "GEMEENTE, WAT GA JE PRECIES MET AL DIE "

Copied!
4
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 4 pagina )

Hele tekst

(1)

4

29 maart 2018

(2)

5

29 maart 2018

>

GEMEENTE, WAT GA JE PRECIES MET AL DIE

INFORMATIE DOEN?

Een nieuwe privacywet voor heel Europa. Eind mei treedt de Algemene Verordening

Gegevensbescherming (AVG) in werking. Hoogleraar en advocaat Gerrit Jan Zwenne vertelt wat sociale diensten, als professioneel verzamelaars van persoonsgegevens, hiervan gaan merken. Een college over privacy, het belang, de bedreigingen en de dagelijkse praktijk.

TEKST: DORINE VAN KESTEREN, BEELD: MIRJAM VAN DER LINDEN / CURVE

E

en gesprek over privacy met jurist Gerrit Jan Zwenne gaat over veel meer dan de wet alleen. The big picture, het idee achter de wet, de politieke en filosofische context zijn nooit ver weg. Zwenne heeft het over Kafka. Over gevangen raken in systemen, computers of algoritmes zonder dat je daaraan iets kunt doen – in zijn ogen een van de ergste dingen die een mens kan overkomen. “Kafka schetst de echte grote bedreigingen en is nog even actueel als honderd jaar geleden. Denk aan de mogelijkheden van big data, waar- mee je patronen kunt halen uit enorme gegevensverza- melingen. Uit bijvoorbeeld een betalingsachterstand bij de energiemaatschappij, een lage citotoetsscore van een van de kinderen en een wietplantage die twee deuren verderop is opgerold, leidt een gemeente dan af dat zich op een bepaald adres problemen voordoen. Stel je voor dat de bewoners vervolgens worden weggezet als slechte ouders, zonder dat de gemeente hen ooit heeft gezien of gesproken. Dáárom is er privacywetgeving, om dat te voorkomen. Gelukkig maar.”

Vinden de cliënten van een sociale dienst privacy ook zo belangrijk?

“Als je op het bestaansminimum zit, is het misschien belangrijker dat je niet afgesloten wordt van gas en licht en dat je kinderen verzekerd zijn. Maar uiteindelijk is privacy voor iedereen van belang, want het gaat om autonomie, zelfbeschikking, je veilig voelen. Misschien vier van de tien mensen zeggen: ze mogen alles van me weten. Maar als je doorvraagt en concrete voorbeelden noemt, blijken ze toch wel erg te hechten aan een goede

lidstaten harmoniseert en de wetge- ving ‘updatet’ naar het tijdperk van digitalisering, heeft weinig geheimen voor hem. Hij relativeert de aardver- schuiving die deze nieuwe Europese verordening volgens sommige media, adviesbureaus en deskundigen teweegbrengt. “Inhoudelijk gaat er niet zo vreselijk veel veranderen aan de regels voor het verzamelen, delen en opslaan van persoonsgegevens. De nadruk komt meer te liggen op aller- lei formaliteiten. Gemeenten moeten bijvoorbeeld straks systematisch alle

verwerkingen van persoonsgegevens documenteren. In een register moeten ze onder andere bijhouden welke gegevens ze verwerken, waar deze vandaan komen, wat ze ermee doen, aan wie ze die verstrekken en hoe lang ze ze bewaren. Daar bestaan modellen voor, maar dit is hoe dan ook een flinke klus. Daarnaast moeten ze hun priva- cyverklaring aanpassen. Transparantie en duidelijkheid

HOOGLERAAR GERRIT JAN ZWENNE OVER DE

ALGEMENE VERORDENING GEGEVENSBESCHERMING

‘ Gemeenten staan hoog in de lijstjes van datalekken, wat de vraag opwerpt of zij slordig zijn of gewoon heel braaf melden’

bescherming van hun persoonlijke gegevens. Het precieze niveau is alleen voor iedereen verschillend en afhankelijk van de context. Maar weet je, eigenlijk vind ik dit een non-issue. Dat iedereen recht heeft op privacy staat gewoon in de wet. En dus moeten we ons daaraan houden. Wat dat betreft ben ik nogal recht in de leer.”

FORMALITEITEN

Zwenne is hoogleraar recht en informatiemaatschappij bij eLaw, het centrum voor recht en digitale technologie van de rechtenfaculteit van de Universiteit Leiden, en partner bij een advocatenkantoor dat zich toelegt op technologie en recht. De AVG, die de verschillende privacyregimes van de Europese

(3)

6

29 maart 2018

de FG is genegeerd.”

INFORMATIEBEVEILIGING Een goede beveiliging van de per- soonsgegevens van cliënten blijft cruciaal onder de AVG. Dat betekent dat gemeenten hun ict-systemen regelmatig moeten onderzoeken op nieuwe risico’s. Ernstige datalek- ken moeten binnen 72 uur worden gemeld bij de Autoriteit Persoonsge- gevens. Ook hier verwacht Zwenne in de praktijk geen grote verande- ringen. “Nederland kent al sinds 2016 de Wet meldplicht datalekken.

Op dat gebied liepen wij voorop in Europa. De termijnen blijven gelijk: binnen 72 uur na ontdekking moet het datalek worden gemeld bij de toezichthouder. Het is wel zo dat straks álle datalekken intern moeten worden gedo- cumenteerd – niet alleen de meldingsplichtige lekken.”

Zijn de persoonlijke gegevens van de cliënten in goede handen bij de sociale diensten?

“Gemeenten staan vrij hoog in de lijstjes van datalekken.

Dat werpt de vraag op of zij slordig zijn of gewoon heel braaf melden. Ik denk het laatste: gemeenten werken niet onzorgvuldiger dan bedrijven. Het zijn wel heel grote organisaties, met heel veel persoonsgegevens, een zekere logheid en parafencultuur. Dan valt er weleens wat tussen wal en schip. Gemeenten hebben ook te maken met politieke wensen. Processen worden geau- tomatiseerd, de wethouder heeft alvast een besparing ingeboekt – sowieso gevaarlijk, want automatisering

kóst meestal alleen maar geld – en dat gaat dan vaak niet goed. Niet alleen wat betreft het functioneren van de sys- temen, maar ook wat betreft de beveiliging. Kijk naar de nieuwe website van UWV: die heeft een miljard gekost en werkt nog steeds niet naar behoren. Een ander risico is dat gemeenten vaak maar een beperkte keuze hebben aan softwareontwikkelaars. Dat maakt het moeilijker om eisen te stellen aan de beveiliging.”

Suwinet, het systeem waarmee gemeenten, UWV en SVB gegevens uitwisselen, is al jaren een hoofd- pijndossier.

“Het is in ieder geval wel positief dat dit bekend is gewor- den. Bij de Belastingdienst lijken we alleen achter derge- lijke problemen te komen als Zembla er een journalist op afstuurt of als een eigen medewerker naar buiten treedt. En het is natuurlijk niet erg geruststellend dat een organisatie van deze omvang en complexiteit het vooral lijkt te moeten hebben van klokkenluiders.”

MILJOENENBOETES

De AVG roept torenhoge boetes in het leven. Organisa- ties die zich niet aan de wet houden, riskeren een boete van 20 miljoen euro of 4 procent van de wereldwijde omzet. “Gemeenten moeten kunnen aantonen dat ze zich aan de wet houden. Accountability, om in de termen van de AVG te blijven. Dat doe je onder andere door te laten zien dat je een intern privacybeleid hebt waarin staat wie welke rol heeft bij de omgang met persoons- gegevens. Bijvoorbeeld: wat doe je met datalekken en inzageverzoeken van cliënten, welke informatie over gegevensbescherming verstrek je aan cliënten, hoe zorg je dat de medewerkers op de hoogte zijn van het beleid en de procedures?”

Staan sociale diensten hoog op de prioriteitenlijst van de toezichthouder?

“Ik verwacht dat de Autoriteit Persoonsgegevens zich bij de handhaving vooral zal laten leiden door klachten, net als nu. Nieuw is overigens wel dat ze bij iedere klacht in actie móeten komen. Dat sociale diensten niet altijd alleen maar tevreden klanten hebben, is een feit. Aan de andere kant is het voor de toezichthouder misschien niet erg aantrekkelijk om boetes op te leggen aan overheden.

Want dan ontstaat er onmiddellijk een maatschappelijke discussie, omdat het de facto de belastingbetaler is die de boete betaalt. Ik vermoed dat de eerste boetes vooral worden opgelegd bij flagrante overtredingen. Daarover zal ook wel worden geprocedeerd. In het begin worden

‘Bij de uitwisseling van gegevens tus-

sen verschillende teams van de sociale dienst, is er vaak meer mogelijk dan men denkt’

zijn kernwoorden in de AVG. Dat betekent dat je in eenvoudige taal precies en volledig uitlegt aan je cliënten wat je doet met hun persoonlijke gegevens.

Je moet hen ook wijzen op hun recht om gegevens aan te passen, hun dossier in te zien of zelfs te vernietigen.”

Wat gaan gemeenten het eerste merken?

“Ze zijn hopelijk al bezig met het aanstellen van een Functionaris Gegevens- bescherming (FG). Dat is een onafhankelijk persoon binnen de organisatie die adviseert en rapporteert over de naleving van de AVG. De FG moet worden betrokken bij alles wat te maken heeft met gegevensbescherming – en dat is veel bij sociale diensten. Hij moet bijvoorbeeld bij de directeur binnenlopen en zeggen: er is een datalek dat we moeten melden. En als de directeur dat liever niet wil, bijvoorbeeld omdat dit politiek gevoelig ligt, moet de FG met zijn vuist op tafel kunnen slaan – al is de uiteindelijke beslissing wel aan de directie. Maar het is geen betekenisloze functie; zo kan de Autori- teit Persoonsgegevens een hogere straf opleggen als blijkt dat het advies van

(4)

7

29 maart 2018

boetes vaak enigszins met de natte vinger vastgesteld.

Dan loont het ook echt de moeite om dit aan te vechten bij de rechter.”

INTEGRAAL WERKEN

In de gemeentelijke praktijk wordt privacy nogal eens op- gevat als een belemmering. Beveiligings- en authenticatie- eisen zijn een sta-in-de-weg als je snel een probleemgezin wilt helpen. En waarom mogen jeugd-, Wmo- en schuld- hulpverleningsteams niet alle relevante informatie met elkaar delen? Sommigen stellen zelfs dat privacy integraal werken en goede zorg in de weg staat. Zwenne: “Onzin.

Goede zorg houdt juist rekening met privacy. Het is erg riskant als cliënten de zaak niet vertrouwen en daardoor

Hoe komen gemeenten erachter dat er meer moge- lijk is dan de adviseur denkt?

“Veel privacy-adviseurs weten het eigenlijk niet goed.

Veel lijken er ook belang bij te hebben om problemen te zien waar die er niet zijn. Of om problemen groter te maken dan nodig. Mijn advies is: ga na waaraan de adviseur zijn of haar deskundigheid en ervaring ontleent.

Een cursus is misschien niet genoeg. Er bestaan ook allerlei opleidingen die een kwaliteit suggereren die niet kan worden waargemaakt. Dan wordt gesproken over

‘beroepscertificering’, wat bij navraag vooral een marke- tingkreet lijkt te zijn.”

Tot slot: hoe zit het met de regels over toestemming onder de AVG?

“De toestemming die een cliënt aan de sociale dienst geeft, is niet in vrijheid gegeven. Het gaat hier name- lijk om een afhankelijkheidsrelatie; mensen hebben in feite geen keuze. Dit is onder de AVG niet anders. Dat betekent dat toestemming geen rechtsgeldige basis is om naar persoonsgegevens te vragen en deze te verwerken.

Gemeenten moeten dus gebruikmaken van een andere grondslag: de uitoefening van een ‘taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag’. En dan moet er ook een specifiek doel zijn, zoals uitkeringsverstrekking of schuldhulpver- lening. De AVG eist wel dat je hierover duidelijk bent tegenover je cliënten. Zeg dus niet alleen dát je iemands financiële gegevens moet hebben om te helpen zijn schulden op te lossen, maar ook wat je precies met die informatie gaat doen.” *

Gerrit Jan Zwenne (1966) studeerde en promoveerde aan de rechtenfaculteit van de Universiteit Leiden. Sinds 2011 is hij hoogleraar recht en de informatiemaatschap- pij bij eLaw. Hij houdt zich vooral bezig met de privacywet- en regelgeving en in het verlengde daarvan ook met internetrechtelijke en telecomvraagstukken. Naast zijn aanstelling bij eLaw is hij advocaat en partner bij advocatenkantoor Brinkhof in Amsterdam. Zwenne geeft colleges en cursussen en publiceert geregeld over zijn expertisegebieden. Hij maakte onder meer deel uit van de externe klankbordgroep die in 2014 onderzoek deed naar mislukte ict-projecten bij de overheid.

misschien wel essentiële gegevens achterhouden. Als het gaat om de uitwisse- ling van gegevens tussen verschillende teams van de sociale dienst, is er vaak meer mogelijk dan men denkt. De privacywetgeving – nu de Wet bescherming persoonsgegevens, straks de AVG – werpt terecht hoge drempels op voor het gebruik van gegevens over gezondheid, etniciteit, geloof en politieke voor- keur. Maar de wet biedt ook allerlei uitzonderingen – alleen is dit soms wel een ingewikkelde puzzel. En als je er niet uitkomt, is het voor de juridisch of privacy-adviseur helaas vaak het gemakkelijkst om te zeggen dat iets niet kan.

Want dan loopt hij geen risico. Maar of dat een goed advies is, is natuurlijk de vraag.” Volgens Zwenne is ook de Autoriteit Persoonsgegevens soms strenger in de leer dan per se nodig. “In de strijd tegen mensenhandel verwerken de gemeenten Den Haag, Utrecht en Amsterdam persoonsgegevens van sekswer- kers. De toezichthouder stelt zich op het standpunt dat dit niet kan, maar ook hiervoor biedt de wet best mogelijkheden.”

Referenties

Download het nu ( PDF - 4 pagina - 893.63 KB )

GERELATEERDE DOCUMENTEN

Hoe zit het nou precies met het briefadres?

Joosten: “Onze gemeente heeft zelf geen instelling voor maatschappelijke opvang die als briefadres kan fun- geren, maar voor mensen uit Nieuwegein is het niet altijd eenvou- dig

Beroepsgeheim: 'Alleen als ik precies weet wie in gevaar is, mag ik spreken'

15-2-2018 Beroepsgeheim: 'Alleen als ik precies weet wie in gevaar is, mag ik spreken' - België -

Wat zeg je?

Deze trend is aangegeven in de figuur: er is bij benadering een lineair verband tussen het percentage mensen P zonder versta-problemen en de leeftijd l. 5p 21 Stel de formule

Wat zeg je?

− Als bij tussentijds afronden van a op correcte wijze een andere waarde.. van b wordt gevonden, hiervoor geen

Waar gaat bijbels onderscheiden precies over?

9 kai touto proseuchomai ina è agapè umón eti mallon kai mallon perisseuè en epignósei kai pasè aisthèsei en dit bid ik dat de liefde van u nog meer en meer

‘Wat ga je doen?’ Een beeld van Participatie & Werk in opvangvoorzieningen 2011 -2013

Eigen medewerkers die naast andere taken Participatie & Werk in hun takenpakket hebben, komen relatief vaak voor bij vrouwenopvang instellingen en instellin- gen die alle

‘Wat ga je doen?’ Een beeld van Participatie & Werk in opvangvoorzieningen 2011 -2013

Binnen het deelproject Participatie & Werk heeft de Federatie Opvang in samenwerking met lokale lid organisaties, gemeenten en andere partners zich in enkele steden en

Wat is er precies afgesproken?

Voor de werknemers in de subsector GID (PC 331.02) wordt nog een aparte regeling rond koopkracht uitgewerkt, aangezien hun barema’s direct gebaseerd zijn op de federale barema’s